KPN heeft een groep criminelen in het vizier die in Nederland onder andere via onbeveiligde wifi-netwerken phishingmails verstuurt. Dat heeft de telecomprovider in het vandaag verschenen European Cyber Security Perspectives laten weten (pdf).

De meeste criminelen die phishingmails versturen zijn lastig op te sporen, maar KPN kwam een groep op het spoor die een aantal grote fouten maakte, waardoor de criminelen zichtbaar waren en over een langere periode konden worden gevolgd. De informatie kan mogelijk worden gebruikt om de groep te vervolgen. De zaak kwam aan het rollen nadat KPN een klacht ontving over een "over op iban" phishingsite. De phishingsite bleek op het ip-adres van een consumenten adsl-verbinding te worden gehost.

Hetzelfde ip-adres bleek echter ook de iban-phishingmails te versturen. Nadat het ip-adres was afgesloten werden dezelfde phishingmails opeens via andere ip-adressen verstuurd. Uit het onderzoek dat werd ingesteld bleek dat de criminelen op het eerste ip-adres na voor alle overige verbindingen een open en onbeveiligd wifi-netwerk gebruikten. De ip-adressen bleken allemaal naar één appartementencomplex te wijzen.

Door de locatiegegevens op een kaart te plaatsen werd duidelijk dat iemand zich in het gebied bevond die naar onbeveiligde wifi-netwerken zocht. "Hoewel wardriving al jaren niet meer is waargenomen, is de eigenaar of gebruiker van het eerste gevonden ip-adres waarschijnlijk gaan rondtrekken om zijn phishingactiviteiten voort te zetten", aldus KPN. Het onderzoek naar de phishers kreeg een hogere prioriteit, maar opeens stopten de phishingaanvallen.

Een half jaar bleef het stil, totdat er weer phishingmails via een open wifi-verbinding werden verstuurd. Dit keer waren de berichten echter van een heel andere locatie afkomstig. KPN kwam in actie en haalde de phishingsite uit de lucht en liet het wifi-netwerk beveiligen. Wederom werd het stil. De criminelen hadden besloten om geen wifi-netwerken meer te gebruiken, maar phishingmails via het mobiele internetnetwerk te versturen.

Vanwege het gebruik van network address translation (nat) binnen een mobiel netwerk veranderen aangesloten apparaten vaak van ip-adres. "De aanvallers dachten misschien dat ze een manier hadden gevonden om onopgemerkt te blijven en met hun phishingactiviteiten door te gaan", laat KPN weten. Er werd met de politie overlegd, maar er was nog niet voldoende bewijs verzameld om tot vervolging over te gaan. Daarop werd besloten met andere providers informatie uit te wisselen of die dezelfde activiteiten op hun netwerken zagen.

Inloggegevens

Daarnaast nam KPN technische maatregelen door de toegangslijsten in het netwerk te veranderen. Daardoor is het niet meer mogelijk om zonder inloggegevens binnen het mobiele netwerk elke willekeurige mailserver van de telecomprovider te gebruiken. Het monitoringssysteem kan vervolgens zien dat bepaalde inloggegevens voor het versturen van phishingmails zijn gebruikt en die blokkeren. Hierdoor zijn de criminelen nu weer op zoek naar gebruikersaccounts die toegang tot de mailservers van KPN hebben.

"Aangezien dit kat-en-muisspel blijft doorgaan, vinden we dat de samenwerking tussen de private en publieke sector voldoende heeft geholpen om de politie actie tegen de verantwoordelijke personen te laten ondernemen", zo besluit KPN.